El grupo amenaza inicios se ha observado la explotación de la CVE-2.017-11.882 Microsoft Office vulnerabilidad de corrupción de memoria y una puerta trasera doblada PowerShower basada en PowerShell en su más reciente ataque de varias etapas de campaña d urante de octubre de 2018.
El inicio se vio en acción al menos en 2014, utilizando múltiples herramientas de malware altamente automatizadas que se dirigen a una amplia gama de industrias y plataformas de todo el mundo, con un enfoque en objetivos rusos.
Además, Inception también es conocido por usar múltiples enrutadores comprometidos de todo el mundo como proxies para ocultar eficientemente el origen de sus ataques, y eliminar automáticamente todas las pistas a los atacantes después de establecer la conexión con la máquina víctima.
Inception utiliza ataques de phishing de dos etapas desde 2014, siendo la primera etapa un correo electrónico que contiene un documento de reconocimiento diseñado para detectar automáticamente la huella digital del dispositivo víctima.
La primera etapa de ataque es seguida por un segundo ataque de phishing por spear varios días más tarde, que se vincula a un documento remoto diseñado para eliminar la carga útil del exploit.
La puerta trasera POWERSHOWER limpia la infiltración y los rastros de infección para obstruir el análisis del ataque
En la campaña de ataques recientemente presenciada por Unite 42 de Palo Alto Networks , Inception ha remodelado su modelo de ataque utilizando un solo documento que emplea plantillas remotas de Microsoft Word para descargar las cargas útiles de exploits de VBScript remotas empaquetadas como objetos OLE.
La carga útil descargada después de que los usuarios abran los correos electrónicos de phishing lanzará un backdoor PowerShell denominado POWERSHOWER y se utilizará como medio para descargar e instalar cargas útiles secundarias más complejas.
POWERSHOWER primero tomará las huellas digitales de la máquina comprometida, cargará los resultados a su servidor de comando y control (C&C) y limpiará todos los rastros de actividad para evitar el análisis forense.
El grupo de amenazas finalmente pondrá en funcionamiento la puerta trasera POWERSHOWER, que se utilizará para soltar y ejecutar la carga útil del malware secundario si la máquina víctima se considera digna.
Este complejo proceso de infiltración e infección hace posible que el grupo de amenazas oculte sus ataques y se dirija de manera eficiente solo a las víctimas más valiosas.
Fecha actualización el 2021-11-06. Fecha publicación el 2018-11-06. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: softpedia